New RegretLocker ransomware targets Windows virtual machines

RegretLocker มัลแวร์เรียกค่าไถ่ตัวใหม่จะเข้ารหัสไฟล์ในดิสก์ของ Hyper-V ด้วยผ่านการ Mount และเข้าไปเข้ารหัส

ตามทฤษฎี Cryptovirology ซึ่งระบุว่ามัลแวร์เรียกค่าไถ่มักจะมีจุดอ่อนอยู่ในระหว่างที่มันกำลังเข้ารหัส เนื่องจากหากมันถูกตรวจจับได้และถูกขัดจังหวะ มัลแวร์จะไม่สามารถทำตามภารกิจได้อย่างสมบูรณ์ การพัฒนามัลแวร์เรียกค่าไถ่โดยส่วนใหญ่จึงเน้นไปที่การพัฒนาให้มัลแวร์สามารถทำงานได้เงียบและเร็วที่สุด ซึ่งหนึ่งในแนวทางนั้นคือการไม่เข้ารหัสไฟล์ที่มีขนาดใหญ่เพื่อไม่ให้เสียเวลา

อย่างไรก็ตามนักวิจัยด้านความปลอดภัย Vitali Kremez ได้มีการพูดถึงมัลแวร์เรียกค่าไถ่ตัวใหม่ RegretLocker ซึ่งเขาได้ทำการวิเคราะห์ไปหลังจากมีการตรวจพบว่า RegretLocker จะไม่ข้ามไฟล์ตระกูล VHD และ VHDX ซึ่งเป็นไฟล์ดิสก์ของ virtual machine ในแพลตฟอร์ม Hyper-V แต่จะทำการ mount ไฟล์ดิสก์ดังกล่าวและเข้าไปเข้ารหัสไฟล์ใน virtual machine ด้วย

ในกระบวนการดังกล่าว RegretLocker มีการเรียกใช้ API ของระบบในกลุ่ม Windows Virtual Storage API อย่าง OpenVitualDIsk, AttachVirtualDisk และ GetVirturalDiskPhysicalPath ในการ mount ไฟล์ดิสก์ให้กลายเป็นพาร์ติชันจำลอง จากนั้นมัลแวร์จะเข้าถึงไฟล์ที่อยู่ภายในและทำการเข้ารหัสตามปกติ วิธีการในลักษณะนี้จะทำให้ความเร็วในการเข้ารหัสมีมากกว่าการเข้ารหัสไฟล์ฮาร์ดดิสก์ทั้งไฟล์ และสร้าง impact ได้มากกว่าการข้ามไฟล์เหล่านี้ไปด้วย

แม้ในขณะนี้มัลแวร์เรียกค่าไถ่ RegretLocker จะไม่ใช่กลุ่มที่มีความ active ในการแพร่กระจายสูง แต่เทคนิคในลักษณะนี้ก็อาจถูกนำไปใช้โดยมัลแวร์เรียกค่าไถ่สายพันธุ์อื่นเช่นเดียวกัน

ที่มา: bleepingcomputer